[福州电信] 又一例电信运营商劫持案例

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 2683 天前的主题，其中的信息可能已经有所发展或是发生改变。

最近刚从联通切换为电信，就发现自己被劫持了！

测试站点：1 号店、Godaddy

以下是测试全程记录，使用各种浏览器（ Chrome、Firefox、360 ）、各种平台（ Windows、MAC、Android、Linux ）和模拟 HTTP 请求方式测试，均会较高概率地出现。

== 1 号店 ==

测试网址： http://www.yhd.com/?cp=0&cityId=1

HTTP/1.1 200 OK
Cache-control: no-store,no-cache,must-revalidate,post-check=0,pre-check=0
Expires: 0
Connection: close
Content-Type: text/html;charset=UTF-8
Set-Cookie: BAIDUID=qq1234; expires=Mon, 24 Jul 2017 05:27:22 GMT; domain=.yhd.com; path=/
Content-Length: 3108
Server: 4ebdfc71391588be740e70a857447eea##300000196##8BDB4F0FB4082CC229CB35414274E1A276019507261825A4378835F87CDD57B1C3C4204FAC1FD51317662096482F01B0B47AF4111E0C561870AC79CF4288CC4B8F8035EEB0E3D16D
Date: Mon, 24 Jul 2017 05:25:22 GMT

<!DOCTYPE HTML><html><head><title></title><style type="text/css">*{margin:0;padding:0;border:0}body{margin:0;color:#000;overflow:hidden;padding:0;width:100%;height:100%;font-family:Arial}a{cursor:pointer;display:block;position:absolute;border:0px;border-radius:16px;background-color:#444;color:#fff;opacity:.8;z-index:3;right:5px;top:5px;height:16px;overflow:hidden;text-align:center;width:16px;font-size:16px;line-height:14px}#x{position:fixed;z-index:2;bottom:0px;right:0px;background-color:#FFF}#m{display:block;position:absolute;top:0;z-index:1;height:100%}#e0{ display: block; position: absolute; right:0; bottom:0; z-index:100; width:30px; height:16px; line-height:16px; font-size:8px; background-color: rgba(0,0,0,0.2); color:#fff; text-align:center;}</style></head><body onLoad="da()"><script>var m = "http://www.yhd.com/?cp=0&cityId=150&forceId=14";var a = "http://47.89.59.182:7788/info.html?sn=0&type=html&mobile=0&sp=6012";var w = window;var n = navigator;var d = document;function da() {var md, dah, daw;var ua = n.userAgent.toLowerCase();var isipad = ua.match(/ipad/i) == "ipad";var isiphone = ua.match(/iphone os/i) == "iphone os";var ismidp = ua.match(/midp/i) == "midp";var isuc7 = ua.match(/rv:1.2.3.4/i) == "rv:1.2.3.4";var isuc = ua.match(/ucweb/i) == "ucweb";var isandroid = ua.match(/android/i) == "android";var isce = ua.match(/windows ce/i) == "windows ce";var iswm = ua.match(/windows\s*mobile/i) == "windows mobile";if (isandroid || isiphone || isipad || iswm) {var meta = d.createElement("meta");meta.name =

注意源文中的：http://47.89.59.182:7788/info.html

== Godaddy ==

测试网址： http://www.goaddy.com/

HTTP/1.1 200 OK
Cache-control: no-store,no-cache,must-revalidate,post-check=0,pre-check=0
Expires: 0
Connection: close
Content-Type: text/html;charset=UTF-8
Set-Cookie: BAIDUID=qq1234; expires=Mon, 24 Jul 2017 05:16:44 GMT; domain=.godaddy.com; path=/
Content-Length: 3071
Server: 78983c49543bf05f6caa7164ee344cd7##300000153##4DB71E232F2CF68308A17F41598333805CA9044C68742B72160D8708B4C230F1D96AF6D22C9B398A499656813CC7054A8116105BB2D27381
Date: Mon, 24 Jul 2017 05:14:44 GMT

<!DOCTYPE HTML><html><head><title></title><style type="text/css">*{margin:0;padding:0;border:0}body{margin:0;color:#000;overflow:hidden;padding:0;width:100%;height:100%;font-family:Arial}a{cursor:pointer;display:block;position:absolute;border:0px;border-radius:16px;background-color:#444;color:#fff;opacity:.8;z-index:3;right:5px;top:5px;height:16px;overflow:hidden;text-align:center;width:16px;font-size:16px;line-height:14px}#x{position:fixed;z-index:2;bottom:0px;right:0px;background-color:#FFF}#m{display:block;position:absolute;top:0;z-index:1;height:100%}#e0{ display: block; position: absolute; right:0; bottom:0; z-index:100; width:30px; height:16px; line-height:16px; font-size:8px; background-color: rgba(0,0,0,0.2); color:#fff; text-align:center;}</style></head><body onLoad="da()"><script>var m = "http://www.godaddy.com/";var a = "http://221.231.6.79:8888/fyyxadmi/Ad/ad_fjnewjm.html";var w = window;var n = navigator;var d = document;function da() {var md, dah, daw;var ua = n.userAgent.toLowerCase();var isipad = ua.match(/ipad/i) == "ipad";var isiphone = ua.match(/iphone os/i) == "iphone os";var ismidp = ua.match(/midp/i) == "midp";var isuc7 = ua.match(/rv:1.2.3.4/i) == "rv:1.2.3.4";var isuc = ua.match(/ucweb/i) == "ucweb";var isandroid = ua.match(/android/i) == "android";var isce = ua.match(/windows ce/i) == "windows ce";var iswm = ua.match(/windows\s*mobile/i) == "windows mobile";if (isandroid || isiphone || isipad || iswm) {var meta = d.createElement("meta");meta.name = "viewport";meta.content = "width=device-width, initial-scale=1.0

注意源文中的：http://221.231.6.79:8888/fyyxadmi/Ad/ad_fjnewjm.html

[注] 正常访问 http://www.godaddy.com/ ，应该是跳转到 https://www.godaddy.com/ 的。

所以即使全站 HTTPS 了，也挡不住他们的流氓行为啊！

第 1 条附言 · 2017-07-24 17:41:41 +08:00

下午电信技术人员来现场考查，使用自带的 PDA 进行检测，重现了这个问题。
现在正在到其它用户那边做测试，后续进展我会继续更新。

刚测试了下大部分购物网站都被劫持：
http://www.yhd.com/
http://www.godaddy.com/
http://www.vip.com/
http://www.suning.com/
http://www.amazon.cn/
http://www.dangdang.com/
http://www.feiniu.com/
http://www.vmall.com/
http://www.jumei.com/
http://www.china-pub.com/
http://www.gnc.com/
http://www.dhc.net.cn/

第 2 条附言 · 2017-07-27 14:11:43 +08:00

当天下午电信工作人员现场测试重现后离开，但至今未给回应。
今天重新测试以上网址，劫持问题均已消除。

第 3 条附言 · 2017-08-12 13:01:27 +08:00

才好没多久，劫持又来了：

Content-Length: 1336
Content-Type: text/html
Cache-Control: no-store
Connection: keep-alive

<html><body><script>var ptemp=window.location.href;var date=new Date();date.setTime(date.getTime()-1);var k=document.cookie.match(/[^=;]+(?=\=)/g);if(!k){k=[]}for(var i=k.length;i--;){document.cookie=k[i]+"=;expires="+date+"; path=/;domain=.jd.com";document.cookie=k[i]+"=;expires="+date+"; path=/;domain=";document.cookie=k[i]+"=;expires="+date+"; path=/;domain=.www.jd.com"}setCookie("hb","1","www.jd.com",60*15);var h_s="https";if(navigator.userAgent.indexOf("MSIE 6.0")>0){h_s="http"}u=h_s+"://ns.freedrive.cn?s=1C300B55E&g="+ptemp;~function(url){var boh=document.body?document.body:document.getElementsByTagName("head")[0];ise=(function(){try{return window.location!=top.location}catch(e){return 1}})();if(!ise){(url&&(function(){/webkit/i.test(navigator.userAgent)?~function(a){a.rel="noreferrer";a.target="_self";a.href=url;boh.insertBefore(a,boh.firstChild);a.click()}(document.createElement("a")):(document.open(),document.write(['<meta http-equiv="refresh" content="0;url=','"/>'].join(url)),document.close());setTimeout(function(){document.location.replace(url)},1000)})())}}(u);function setCookie(cookiename,cookievalue,domain,m){var date=new Date();date.setTime(date.getTime()+Number(m)*1000);document.cookie=cookiename+"="+cookievalue+"; path=/;expires = "+date.toGMTString()+"; domain = "+domain};</script></body></html>

21 条回复 • 2018-05-30 20:36:33 +08:00

hilyjiang

2017-07-24 13:33:54 +08:00

附上 Golang 测试代码（ godaddy 测试）：
```
package main

import (
"fmt"
"net"
"strings"
)

func main() {
rawData := `GET / HTTP/1.1
Host: www.godaddy.com
Connection: keep-alive
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8

`

conn, err := net.Dial("tcp", "www.godaddy.com:80")
if err != nil {
fmt.Println(err.Error())
return
}

rawData = strings.Replace(rawData, "\n", "\r\n", -1)
if _, err := conn.Write([]byte(rawData)); err != nil {
fmt.Println(err.Error())
return
}

buf := make([]byte, 2048, 2048)
if _, err := conn.Read(buf); err != nil {
fmt.Println(err.Error())
return
}

fmt.Println(string(buf))
}
```

有趣的事情是，你把：
conn, err := net.Dial("tcp", "www.godaddy.com:80")
改成：
conn, err := net.Dial("tcp", "www.baidu.com:80")
或是：
conn, err := net.Dial("tcp", "jd.com:80")
劫持的结果是一样的。

这说明他们是根据 Host 劫持的，而且是在接入层做劫持。

crzidea

2017-07-24 13:42:51 +08:00

你搞错了吧，明明测试的都是 HTTP，哪里全站 HTTPS 了。

wm5d8b

2017-07-24 13:47:47 +08:00

打电话给电信，就说有劫持。
如果他问你是不是 dns 劫持，你就告诉他不是，是 http 劫持

hilyjiang

2017-07-24 14:01:44 +08:00

@crzidea godaddy 是全站 https 了，唯一的 http 地址就是 http://www.godaddy.com/

hilyjiang

2017-07-24 14:02:28 +08:00

@wm5d8b 已投诉，继续跟进他们的后续处理。

mytsing520

2017-07-24 14:07:58 +08:00

@hilyjiang 但你输入地址的时候一般不带协议，浏览器默认就往 http 跑了啊

aksoft

2017-07-24 14:09:55 +08:00

https 需要你自己输入，现在只能跳转

hilyjiang

2017-07-24 14:15:41 +08:00

@mytsing520 问题是你输入网址的时候，会特地敲 https://么？

mytsing520

2017-07-24 14:42:47 +08:00

@hilyjiang 所以就被劫持了呗

snoopygao

2017-07-24 14:52:15 +08:00 via iPhone

不明白，如果是我我会先换另一台电脑，然后直接接猫电脑拨号

AlwaysBehave

2017-07-24 15:14:12 +08:00

@hilyjiang 当然会输入
但是网站不上 HSTS，自己不开 HTTPS Everywhere，然后又是在国内，还能说什么呢（

hilyjiang

2017-07-24 17:38:38 +08:00

@AlwaysBehave 所以这是用户的错喽？

Benisme

2017-07-24 17:45:56 +08:00

应该整个福建都是吧，反正我上京东啊淘宝啊永远都要再刷新一遍。手机上用 4g （移动）的时候，经常底部有广告

hilyjiang

2017-07-24 18:00:49 +08:00

@Benisme 感觉应该不是电信自己的行为，也有可能是有入侵者在室外的通信线路上做了手脚。

Siril

2017-07-24 18:39:15 +08:00

@hilyjiang 还有这种操作？

AlwaysBehave

2017-07-25 17:23:34 +08:00

@hilyjiang 第一点就不是用户的错啊，那些网站自己不加 HSTS 头在国内活该被劫持。
但是你用国产浏览器无视 HSTS 的，自己也没有防范意识的也无能为力。
而且劫持也无伤大雅（对普通用户而言，又不是不能用），返利那些链接又如何？我之前也有发珠江宽频的
反而注意到这个的用户本身就是要比别人多做一点不是吗？在这个自有国情的地方有什么办法？

xiecong520

2017-07-26 07:16:48 +08:00

@AlwaysBehave
请教大神,湖北电信，查询任意错误或 IPS 无法解析的域名,均返回 61.183.1.186 这个 IP，TTL=128.
如果再次查询，返回 111.175.221.58. 这两毒瘤 IP 会跳转满屏广告+恶意跟踪. 这种该怎么破？
我这里用公共 DNS,会绕 202.97,不好用... host 又只对域名效果,暂时只好开防火墙把那两个 IP 给拦了...

AlwaysBehave

2017-07-26 13:09:07 +08:00

@xiecong520 这种……
直接投诉吧。
在就只能拦 IP 了，要是我就一般就装插件拦，或者直接全局代理……
还有就试试 D 一波吧（

xiecong520

2017-07-26 20:34:30 +08:00

@AlwaysBehave 投诉了好多次，人家不承认，到后来都爱理不理的..就差投诉到工信部了.
浏览器插件拦吗？貌似容易漏，启动时候插件还没加载 DNS 结果就缓存了.
我以前使用 chinaip 做分流的时候，ssr 居然还帮它穿墙. 差点气死我.
D 一波- -！这两 IP 比 DNS 服务器都扎实.. 它是公私混合型的劫持服务器- -！

cwyalpha

2018-04-30 15:38:08 +08:00 via iPhone

同福州电信一模一样的劫持准备投诉工信部看看电信也是推说 dns 问题了呵呵

cmheia

2018-05-30 20:36:33 +08:00

广州电信，打开 HTTP 版京东同样被劫持(a)到 ns.freedrive.cn 。
已经多次 10000 号投诉，昨天也已经通过邮件投诉给工信部，今天电信来电表示已经收到工信部投诉，表示关闭了电信自身的推广，让今晚试试还有没有问题，明日再次回访。
今晚实测仍然在劫持，今天唯一不同的是 ns.freedrive.cn 这个域名配置了有效的 tls 证书，跑完了整个劫持过程，而今天之前该域名使用的是无效证书，会被浏览器阻断加载。

电信就是这么解决“打不开京东”的问题的，工信部都管不住了。

除此之外还有劫持手机插入绿色信封状广告的问题(b)，一样没给解决。

附图 a （全时段劫持京东 gif, 4.29MB ）：

附图 b （每日一次劫持为知笔记 APP jpg, 765KB ）：